Neue Installation PMG 6.2 und Fragen...

TomFS

New Member
Jun 17, 2020
8
0
1
Filderstadt / Stuttgart
Guten Morgen allerseits,
ich habe zum Test PMG in der aktuellen Download Version auf einem Hyper-V Blech installiert und das funktioniert soweit fürs erste ganz gut. Aber es gibt Fragen zu denen ich im Forum (noch) keine Antworten gefunden habe.

1. Reject mit 450 4.7.1 (die XXXXX sind von mir)
==================
Jun 19 09:58:50 pmg postfix/smtpd[9763]: NOQUEUE: reject: RCPT from unknown[10.1.0.1]: 450 4.7.1 <2017-03-31-mail@XXXXX.de>: Recipient address rejected: Service is unavailable (try later); from=<CharlesJonesu@mastertele.com.br> to=<2017-03-31-mail@XXXXX.de> proto=ESMTP helo=<firewall1.XXXXX.de>

Frage: wird in solchen Fällen (habe ich sehr viele) an den Absender eine Information bez. Unzustellbarkeit nach aussen gesendet?

Grundsätzlich notwendig ist:

1. es müssen alle ankommenden Mails angenommen werden; Ablehnung im SMTP Protokoll darf nicht sein.
2. es dürfen nach aussen seitens PMG keinerlei Mails wie z.B. NDR versendet werden.
3. es sollte eine Tabelle mit allen Mails mit Status (HAM / SPAM / Virus) angezeigt werden können; nicht nur wie unter Spamquarantäne einzeln nach E-Mail Adresse.
4. erst nach Empfang darf die Filterung auf SPAM und Viren stattfinden. Viren-Mails müssen ebenfalls in Quarantäne; zur Übersicht und Weiterleitung bei False-Positives.

Ich habe nach ersten Tests meine Zweifel, dass PMG meine o.g. grundlegenden Anforderungen erfüllen kann...???... Lasse mich gerne eines besseren belehren.

Ich freue mich auf die Antworten und Vorschläge :)
Gruß Tom
 
1. Reject mit 450 4.7.1
die message dürfte vom aktiven greylisting sein.
bei einem tempfail (4xx z.b. 450) fehler wird die mail üblicherweise auf dem sendenden server gequeued und zu einem späteren Zeitpunkt ein weiterer Zustellversuch unternommen. Vom PMG wird keine bounce/ndr verschickt - allerdings ist es nicht unüblich, dass nach mehreren stunden ein versendender server an den Absender eine notification schickt (PMG tut dies wenn es einen downstream server nicht erreichen kann)

1. es müssen alle ankommenden Mails angenommen werden; Ablehnung im SMTP Protokoll darf nicht sein.
das ist praktisch nicht möglich zu garantieren - eine volle Festplatte z.b. wird zu einem Tempfail werden, auch eine aktive recipient verification führt zu einem Ablehnen (die wäre aber konfigurierbar)
Bei After-queue filtering (default) wird die mail aber normalerweise angenommen und dann je nach Regelsystem weitergeleitet, in Quarantäne geschickt, oder verworfen.

2. es dürfen nach aussen seitens PMG keinerlei Mails wie z.B. NDR versendet werden.
auch etwas was nicht garantiert werden kann und was mit SMTP so nicht sinnvoll umsetzbar ist - aber vieles duerfte sich durch manuelle anpassung der postfix config einstellen lassen.

3. es sollte eine Tabelle mit allen Mails mit Status (HAM / SPAM / Virus) angezeigt werden können; nicht nur wie unter Spamquarantäne einzeln nach E-Mail Adresse.
das ist im GUI derzeit nicht implementiert - allerdings kann ueber die Rest-API durchaus per script diese Liste geholt werden.

4. erst nach Empfang darf die Filterung auf SPAM und Viren stattfinden. Viren-Mails müssen ebenfalls in Quarantäne; zur Übersicht und Weiterleitung bei False-Positives.

siehe antwort auf Frage 1 - bei Afterqueue filtering passiert das so


Ansonsten wuerde ich gerne noch auf die Referenzdokumentation verweisen - da sollte noch einiges zur Funktion gut und detailliert erklärt sein:
https://pmg.proxmox.com/pmg-docs/

Ich hoffe das hilft!
 
Hallo und Danke für die Informationen.

Ich habe zwischenzeitlich intensiv weiter getestet und die Ergebnisse in Verbindung mit den obigen Antworten lassen mich zu dem Schluss kommen, dass PMG für meine Anforderungen und die meiner Kunden völlig ungeeignet ist.

- Ich bin kein Programmierer und will mich nicht mit API´s oder manuellen Anpassungen herumschlagen.
- Eine vernünftige, professionelle und aussagefähige GUI setze ich schlicht vorraus; dies wurde nur teilweise implementiert -> Schade.
- Die Nichtversendung von z.B. NDR´s ist ein Must Have und kein Nice to Have! Das entscheide ich selbst.

Gruß und bye und bleibt gesund!

Tom
 
Hallo und Danke für die Informationen.

Ich habe zwischenzeitlich intensiv weiter getestet und die Ergebnisse in Verbindung mit den obigen Antworten lassen mich zu dem Schluss kommen, dass PMG für meine Anforderungen und die meiner Kunden völlig ungeeignet ist.

- Ich bin kein Programmierer und will mich nicht mit API´s oder manuellen Anpassungen herumschlagen.
- Eine vernünftige, professionelle und aussagefähige GUI setze ich schlicht vorraus; dies wurde nur teilweise implementiert -> Schade.
- Die Nichtversendung von z.B. NDR´s ist ein Must Have und kein Nice to Have! Das entscheide ich selbst.

Gruß und bye und bleibt gesund!

Tom

Dann viel Erfolg! Ich habe vor dem Einsatz von PMG (und durchaus hat mir das Anpassen und Rumprobieren dabei auch Spaß gemacht) alle möglichen Lösungen ausprobiert, kommerzielle wie OpenSource, on premise wie SaaS. Da bleibt nicht wirklich viel übrig.
 
Moinsen heutger,
Dann viel Erfolg! Ich habe vor dem Einsatz von PMG (und durchaus hat mir das Anpassen und Rumprobieren dabei auch Spaß gemacht) alle möglichen Lösungen ausprobiert, kommerzielle wie OpenSource, on premise wie SaaS. Da bleibt nicht wirklich viel übrig.

Auch ich habe viele Lösungen ausprobiert und stimme Dir zu 100% zu, dass zu dem Thema nicht viel übrig bleibt. Meines Erachtens ist bez. Erkennungsrate das PMG sogar fast einsame Spitzenklasse...

-> Nur was bringt die Spitzenklasse wenn es nicht handlebar ist. Meine Namensdomain wird mit SPAM geflutet (täglich tausende E-Mails an hunderte E-Mail Adresse zu @xxxxx.de), man kann nicht täglich hunderte E-Mail Adressen unter Spamquarantäne jeweils einzeln auf False-Positives prüfen.

-> Das Problem ist tatsächlich die Namens-Domain mit einem "Allerwelts-Namen" ähnlich schmidt (.) de und einem MX. Das aber ist so notwendig, u.a. weil ich (historisch bedingt) pro Lieferant eine E-Mail Adresse vergebe und die Mails letztendlich in einem Sammelpostfach auf dem Exchange landen; so muss ich nicht pro Lieferant ein Postfach anlegen und kann mit Outlook bequem filtern... Das zieht leider nach sich, dass SPAM auch in diesem letztendlich Catchall-Postfach landen und ich gegen greifbare SPAM-Versender vorgehe...

Aus vorgenannten Gründen ist eine Liste (unterhalb dem Menü Adminstration) Protokoll mit allen durchgelaufenen Mails, mit Status und Schaltflächen (z.B. Blacklist / Whitelist / RAW / Spaminfo) wie unter der Spamquarantäne zwingen notwendig: eine Liste aller durchgelaufenen Mails mit Filtermöglichkeit nach Absender, Empfänger, Betreff und den vorgenannten Schaltflächen.

Nur wenn man eine Liste aller Mails und Filter hat, kann man z.B. nach bestimmten Absendern suchen und erkennen, ob die Mail wirklich im Hause ankam. So stellt es meine Firewall im Userinterface dar, nur leider ohne Möglichkeit, eine Mail als SPAM deklarieren zu können. Im Spam-Fall muss ich dann das Admin-Interface öffnen und im Mailfilter händisch eine SPAM-Domain eintragen.

Vielleicht liest ja der Hersteller mit und verbessert das schon gute Produkt zu einem auch handhabbaren. Wäre schön :)

Gruß Tom
 
Moinsen heutger,


Auch ich habe viele Lösungen ausprobiert und stimme Dir zu 100% zu, dass zu dem Thema nicht viel übrig bleibt. Meines Erachtens ist bez. Erkennungsrate das PMG sogar fast einsame Spitzenklasse...

-> Nur was bringt die Spitzenklasse wenn es nicht handlebar ist. Meine Namensdomain wird mit SPAM geflutet (täglich tausende E-Mails an hunderte E-Mail Adresse zu @xxxxx.de), man kann nicht täglich hunderte E-Mail Adressen unter Spamquarantäne jeweils einzeln auf False-Positives prüfen.

-> Das Problem ist tatsächlich die Namens-Domain mit einem "Allerwelts-Namen" ähnlich schmidt (.) de und einem MX. Das aber ist so notwendig, u.a. weil ich (historisch bedingt) pro Lieferant eine E-Mail Adresse vergebe und die Mails letztendlich in einem Sammelpostfach auf dem Exchange landen; so muss ich nicht pro Lieferant ein Postfach anlegen und kann mit Outlook bequem filtern... Das zieht leider nach sich, dass SPAM auch in diesem letztendlich Catchall-Postfach landen und ich gegen greifbare SPAM-Versender vorgehe...

Aus vorgenannten Gründen ist eine Liste (unterhalb dem Menü Adminstration) Protokoll mit allen durchgelaufenen Mails, mit Status und Schaltflächen (z.B. Blacklist / Whitelist / RAW / Spaminfo) wie unter der Spamquarantäne zwingen notwendig: eine Liste aller durchgelaufenen Mails mit Filtermöglichkeit nach Absender, Empfänger, Betreff und den vorgenannten Schaltflächen.

Nur wenn man eine Liste aller Mails und Filter hat, kann man z.B. nach bestimmten Absendern suchen und erkennen, ob die Mail wirklich im Hause ankam. So stellt es meine Firewall im Userinterface dar, nur leider ohne Möglichkeit, eine Mail als SPAM deklarieren zu können. Im Spam-Fall muss ich dann das Admin-Interface öffnen und im Mailfilter händisch eine SPAM-Domain eintragen.

Vielleicht liest ja der Hersteller mit und verbessert das schon gute Produkt zu einem auch handhabbaren. Wäre schön :)

Gruß Tom

Hallo Tom,

es geht hier mehr um den Use Case des Groß an Kunden. Ich hätte und habe auch immer wieder ein paar Verbesserungsvorschläge, manche kamen nun im 6er-Release (final mit 6.2), andere sind noch offen und wieder andere wurden zurückgewiesen. Es kann jeder a) einen Feature Request im Bug Tracker auf machen, b) in der Developer Mailingliste anfragen oder (optimal) c) selbst die Anpassungen bereitstellen und den Code zur Aufnahme beisteuern.

Ich persönlich habe auch eine Namensdomain, aber nicht einen so bekannten Namen. Ich nutze ein sehr gutes Set an Blacklists, dazu einige Tweaks am PMG und es kommt kaum Spam durch. Ich lerne den Spam der Bayes-Datenbank an und optimiere damit ebenfalls den Filter. Insbesondere aber nutze ich nicht die Quarantäne sondern tagge nur Spam. Ich halte die Quarantäne einfach nur für zusätzliche Arbeit, dann muss ich nicht nur regelmäßig mein Postfach checken und potentiellen Spam zum Anlernen verschieben sondern auch noch die Quarantäne durchgehen, das ist für mich überhaupt nicht effizient, aber das muss jeder für sich selbst entscheiden. Die ganzen SaaS-Lösungen arbeiten so und ich finde das sehr aufwändig.

Grüße
Christian
 
Hallo Christian,
mir geht es so, dass ich ab und zu öfter den Eingang der SPAM von deutschen Unternehmen dokumentieren muss. Wei bereits erwähnt gehe ich gegen deutsche Spammer rigiros mit Abmahnung, Anwalt und ggf. Gerichten vor. Richter sind von Natur aus in IT Dingen meist strunzdumm und gegnerische Anwälte mit Ausreden äusserst phantasievoll. So kommt es eben vor, dass ich einem Gericht darlegen muss, dass die Mail bei mir ankam und ich die nicht eingesammelt habe. Das ist so traurige Tatsache, aber in vielen Fällen (geschätzt 200 seit 2008) leider Realtät. Nur so konnte ich Spammer-Gesockse wie z.B. Zal*nd*, die ehemalige Unister Gruppe oder Trottelfonica in die Schranken weisen; bis hin zu Oberlandesgerichten; mit Unterlassungs- und Zahlungs-Klagen.

Heute früh um 7 Uhr habe ich PMG zwischen meine Firewall (mit Cyren Mailfilter) und dem Mailgateway geschaltet. Von heute 1.800 Mails hat meine Firewall keine false Positives gemeldet und bis auf 7 SPAM´s alles rausgefiltert. Diese 7 Mails hat PMG erkannt. Die SPAM Erkennung bei PMG halte ich i.Ü. für hochwertig.

-> Die Filterung und Protokollierung wie schon weiter oben beschrieben würde die Situation so vereinfachen, dass ich nur PMG nutzen müsste und die Auswertungen der Spamquarantäne dokumentieren könnte.

Die globale Blacklist habe ich leider so einstellen müssen, das bestätigte SPAM in Quarantäne kommt; ein verwerfen (ohne NDR!) habe ich nicht gefunden. Es dürfen aber grundsätzlich keine NDR versendet werden. In solchen Fällen würden Spam Versender meine IP-Adressen frei Haus bekommen und das darf nicht sein. Spam Versender können hier auf einfache Weise mit einer mir gehörenden IP Adresse z.B. Newsletter Anmeldungen fingieren. Exakt sowas wurde schon mehrfach versucht; glücklicherweise nicht erfolgreich *g*.

Die Quarantäne muss ich nutzen, um z.B. bei SPAM Wiederholern die Möglichkeit zu haben, diese auf die Whitelist zu setzen. leider nur so kann ich bei Spam Wiederholern (Verurteilten oder bei vorliegen einer Unterlassungserklärung) die Stirn bieten, also entweder einen Ordnungsgeld-Antrag zu stellen oder meine Vertragsstrafe zu fordern. Auch hier braucht man ein Protokoll und die Möglichkeit zur schnellen Prüfung der erhaltenen Mails...

Alles nicht sooo einfach aber ich hoffe dann mal auf kommende Funktionen. Da bin ich gerne auch zum Kauf bereit.

Gruß Tom
 
Die globale Blacklist habe ich leider so einstellen müssen, das bestätigte SPAM in Quarantäne kommt; ein verwerfen (ohne NDR!) habe ich nicht gefunden
in der rule die Action Block eintragen, und dann noch sicherstellen, dass bei Administration->Mail Proxy->Options die Option 'Send NDR on Blocked Emails nicht angehakt ist' (das default)?
 
in der rule die Action Block eintragen, und dann noch sicherstellen, dass bei Administration->Mail Proxy->Options die Option 'Send NDR on Blocked Emails nicht angehakt ist' (das default)?
Das hatte ich schon so eingestellt, es geht aber um "Verwerfen ohne NDR" und das kann PMG leider nicht bieten.

Ich habe nun die letzten Tage die Sache weiter beobachtet. Ob Einsatz PMG ja oder nein hängt definitiv an den fehlenden Übersichten mit Filtermöglichkeiten und der Tabelle / Protokollierung aller durchgelaufenen Mails.

Falls PMG mit einer brauchbaren Oberfläche für das Management auf dem Markt kommt kann mich gerne per E-Mail ansprechen. Die vorhandene Installation wird gleich gelöscht.

Gruß Tom
 
Das hatte ich schon so eingestellt, es geht aber um "Verwerfen ohne NDR" und das kann PMG leider nicht bieten.

Ich habe nun die letzten Tage die Sache weiter beobachtet. Ob Einsatz PMG ja oder nein hängt definitiv an den fehlenden Übersichten mit Filtermöglichkeiten und der Tabelle / Protokollierung aller durchgelaufenen Mails.

Falls PMG mit einer brauchbaren Oberfläche für das Management auf dem Markt kommt kann mich gerne per E-Mail ansprechen. Die vorhandene Installation wird gleich gelöscht.

Gruß Tom

Hmm, es soll aber doch alles korrekt ablaufen (auch bezüglich der Spamabmahnbarkeit). Dann wäre es aber schon wichtig, sich auch an die deutschen Gesetze zu halten. Ein Verwerfen (also unterdrücken) einer Nachricht (an Stelle eines Block aka Reject) ohne Benachrichtigung verstößt gegen geltendes Recht (§206 II StGB)!

Zu den Optimierungen: Wenn ansonsten die Lösung ja perfekt ist (wie ich diese auch erfasse), selbst coden und Code contributen, ist schließlich Open Source Software. ;-)
 
Hmm, es soll aber doch alles korrekt ablaufen (auch bezüglich der Spamabmahnbarkeit). Dann wäre es aber schon wichtig, sich auch an die deutschen Gesetze zu halten. Ein Verwerfen (also unterdrücken) einer Nachricht (an Stelle eines Block aka Reject) ohne Benachrichtigung verstößt gegen geltendes Recht (§206 II StGB)!
Bestätigten SPAM (zu 100% aus dem Ausland) ohne NDR zu verwerfen tangiert die deutsche Rechtsprechung an keiner Stelle. Nach meinen Vorstellungen (siehe oben) würde aber auch das protokolliert. Alle anderen Mails laufen durch das System, würden protokolliert und entsprechen meinen Regeln verarbeitet. Wenn sich in China oder in der Ukraine ein Spammer am StGB stört, dann soll er mich kreuzweise...

Zu den Optimierungen: Wenn ansonsten die Lösung ja perfekt ist (wie ich diese auch erfasse), selbst coden und Code contributen, ist schließlich Open Source Software. ;-)
Ich hab Eingangs erwähnt, dass ich kein Programmierer bin meine Freizeit besser als damit verbringen kann. Es ist m.E. auch kompletter Unfug, sich solchen Sachen extra programmierung zu lassen: eine Änderung im Basisprogramm kann Anpassungen komplett zunichte machen. Entweder bringt ein Programm das passende mit oder es ist für mich unbrauchbar. Im ersten Fall bin zum Kauf... bereit, im zweiten Fall zur Deinstallation.
 
Bestätigten SPAM (zu 100% aus dem Ausland) ohne NDR zu verwerfen tangiert die deutsche Rechtsprechung an keiner Stelle. Nach meinen Vorstellungen (siehe oben) würde aber auch das protokolliert. Alle anderen Mails laufen durch das System, würden protokolliert und entsprechen meinen Regeln verarbeitet. Wenn sich in China oder in der Ukraine ein Spammer am StGB stört, dann soll er mich kreuzweise...


Ich hab Eingangs erwähnt, dass ich kein Programmierer bin meine Freizeit besser als damit verbringen kann. Es ist m.E. auch kompletter Unfug, sich solchen Sachen extra programmierung zu lassen: eine Änderung im Basisprogramm kann Anpassungen komplett zunichte machen. Entweder bringt ein Programm das passende mit oder es ist für mich unbrauchbar. Im ersten Fall bin zum Kauf... bereit, im zweiten Fall zur Deinstallation.

Es könnten sich die Empfänger daran stören, für diese gilt strafbewährt dass das ein unzulässiger Eingriff ins Briefgeheimnis ist.

Naja, es handelt sich hier um Open Source. Der Vorteil ist, dass etliche wie ich damit daran Anpassungen vornehmen können, wo bei Cyren bspw. nur Friss oder Stirb gilt oder man macht Ticket um Ticket an den Support auf, dass der Filter optimiert wird. Wie man an meinem Advancing Thread sieht nutzte ich Spamfence (das kostenlose Cyren für Privatleute) in meinem Setup, ich musste das vor wenigen Tagen rauswerfen, weil Mails einfach rejected wurden, auf mein Ticket an den Support gab es nicht mal eine Antwort. Auch nutzen Leute wie ich auf meiner Privatinstallation PMG für lau, auch das eben Vorteil des Open Source. Dafür muss man bereit sein, auch etwas zurückzugeben. Und wenn es contributed wird, kann es auch in die offiziellen Quellen übernommen werden, bleibt also auch updatesafe.
 
Es könnten sich die Empfänger daran stören, für diese gilt strafbewährt dass das ein unzulässiger Eingriff ins Briefgeheimnis ist.

Die berechtigten Empfänger auf meiner Domain kenne ich alle :) und niemand (!!!) hat ein Problem damit, dass bestätigter Spam verworfen wird. Wer auch bestätigten Spam haben oder das erzwingen will der bekommt erstmal eine Abmahnung und dann die Kündigung; ganz einfach weil diese Person sich nicht an Betriebsvereinbarung zum Thema Nutzung von Telefon, Internet und E-Mail hält. So einen Obergescheiten gab es schon und da hat dem noch nicht mal das Arbeitsgericht geholfen.

Wenn schon Versuche der Rechtsbelehrung, dann bitte mit korrekten Begriffen: strafbewährt gibt es nicht - das heisst strafbewehrt. Das wiederum kommt nur zum tragen, wenn ich tatsächlich eine strafbewehrte Tat begangen hätte; das muss ich zu einer Unterlassung verurteilt worden sein oder eine strafbewehrte Unterlassungserklärung abgegeben haben. Das am Rande...

Nun bin ich hier weg. Wenn PMG mal brauchbar daherkommt, kann mich der Hersteller gerne informieren.

Tschüss und bleibt gesund!
 
Die berechtigten Empfänger auf meiner Domain kenne ich alle :) und niemand (!!!) hat ein Problem damit, dass bestätigter Spam verworfen wird. Wer auch bestätigten Spam haben oder das erzwingen will der bekommt erstmal eine Abmahnung und dann die Kündigung; ganz einfach weil diese Person sich nicht an Betriebsvereinbarung zum Thema Nutzung von Telefon, Internet und E-Mail hält. So einen Obergescheiten gab es schon und da hat dem noch nicht mal das Arbeitsgericht geholfen.

Wenn schon Versuche der Rechtsbelehrung, dann bitte mit korrekten Begriffen: strafbewährt gibt es nicht - das heisst strafbewehrt. Das wiederum kommt nur zum tragen, wenn ich tatsächlich eine strafbewehrte Tat begangen hätte; das muss ich zu einer Unterlassung verurteilt worden sein oder eine strafbewehrte Unterlassungserklärung abgegeben haben. Das am Rande...

Nun bin ich hier weg. Wenn PMG mal brauchbar daherkommt, kann mich der Hersteller gerne informieren.

Tschüss und bleibt gesund!

Alles Gute und das war nur ein freundlicher Hinweis, da es hier um Grundgesetz geht.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!